NAKIVO > Blog > Multiplatform

¿Qué es el almacenamiento inmutable de datos para backups?

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Los backups de datos pueden ayudar a recuperarlos si una copia principal de producción se corrompe o se borra. Sin embargo, con el alto riesgo de ciberataques y otras amenazas, los backups también son vulnerables.

Una de las mejores formas de proteger los datos de backup contra cualquier modificación o eliminación es utilizar un almacenamiento que admita la inmutabilidad. Conozca la inmutabilidad de los datos, cómo funciona el almacenamiento inmutable y por qué el almacenamiento inmutable de datos mejora las posibilidades de protección y recuperación de datos.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

¿Qué es la inmutabilidad de los datos?

La inmutabilidad de los datos es un concepto de la informática y la gestión de datos que se refiere a los datos que no pueden modificarse una vez creados. En un modelo de datos inmutable, una vez creados los datos, no pueden modificarse ni actualizarse; en su lugar, cualquier cambio da lugar a la creación de nuevos datos, dejando los datos originales inalterados (si los cambios pueden aplicarse). Este planteamiento tiene importantes implicaciones y ventajas.

Los datos inmutables no son siempre la mejor opción, ya que hay escenarios en los que los datos mutables son más eficientes o apropiados. Sin embargo, en muchos casos, sobre todo en sistemas de backups, concurrentes o distribuidos, la inmutabilidad puede simplificar el desarrollo y mejorar la fiabilidad.

¿Qué es el almacenamiento inmutable?

El almacenamiento inmutable es un tipo de almacenamiento de datos en el que, una vez escritos o almacenados, no pueden ser modificados, alterados o borrados durante un periodo de tiempo determinado, si es que llegan a serlo. Este concepto se utiliza a menudo en el contexto de la conservación de datos, la protección de datos, la conformidad de datos y la seguridad de datos. Los sistemas de almacenamiento inmutables están diseñados para garantizar la integridad e inmutabilidad de los datos, normalmente por motivos legales o normativos o para proteger información crítica de cambios o borrados no autorizados.

El almacenamiento inmutable añade una capa adicional de seguridad a los datos. Una vez que los datos se escriben en un sistema de almacenamiento inmutable, se vuelven resistentes a modificaciones no autorizadas, protegiéndolos de ciberataques y amenazas internas. El almacenamiento inmutable puede utilizarse en situaciones en las que es crucial mantener una cadena de custodia segura e ininterrumpida, como el almacenamiento de pruebas en casos judiciales o el almacenamiento de registros de transacciones financieras. Un ejemplo pueden ser las grabaciones de videovigilancia que se escriben una vez y no se pueden manipular ni borrar para utilizarlas como prueba al investigar actividades legales.

Los sistemas de almacenamiento inmutable se implantan para conservar los datos durante un periodo determinado, garantizando que permanezcan inalterados y accesibles con fines de auditoría, cumplimiento de normativas o archivo. Esto es crucial en sectores como el financiero, el sanitario y el jurídico, que tienen estrictos requisitos de conservación de datos. Ya sea para la protección de datos, el cumplimiento normativo (por ejemplo, GDPR) o la mejora de la seguridad, el almacenamiento inmutable es un componente crítico para garantizar la integridad de los datos y la resiliencia frente a manipulaciones o cambios no autorizados.

¿Cómo funciona el almacenamiento inmutable?

El almacenamiento inmutable funciona aplicando mecanismos y políticas que impiden que los datos se modifiquen, alteren o eliminen después de haber sido escritos o almacenados. Los métodos específicos para lograr la inmutabilidad pueden variar en función de la tecnología y la arquitectura del sistema de almacenamiento. Las técnicas y principios utilizados en el almacenamiento inmutable son:

  • Escritura-Una-Lectura-Muchas (WORM). El almacenamiento WORM está diseñado para que los datos sólo se escriban una vez y, una vez escritos, no puedan modificarse ni sobrescribirse. Esto se consigue a menudo mediante mecanismos físicos o lógicos que bloquean los datos una vez escritos, impidiendo cualquier modificación posterior.
  • Control de versiones de datos. Algunos sistemas de almacenamiento inmutable son compatibles con el control de versiones de datos, en el que cada modificación de los datos da lugar a una nueva versión. Se conservan las versiones antiguas de los datos, lo que permite acceder a versiones históricas al tiempo que se garantiza que los datos originales permanecen inalterados.
  • Controles de cierre y acceso. Los sistemas de almacenamiento inmutable suelen incorporar controles de acceso y permisos para impedir que usuarios no autorizados intenten modificar o borrar datos. Sólo las personas o procesos autorizados pueden escribir en el almacenamiento, mientras que los demás sólo pueden leer los datos.
  • Políticas de retención. Los sistemas de almacenamiento inmutable suelen incluir políticas de retención que especifican cuánto tiempo deben conservarse los datos en un estado inalterado. Permite establecer la inmutabilidad durante un tiempo determinado. Una vez que expira este periodo de conservación, los datos pueden ser susceptibles de supresión.
  • Hashing criptográfico. Muchos sistemas de almacenamiento inmutable utilizan técnicas de hashing criptográfico para garantizar la integridad de los datos. Cuando se escriben datos, se calcula un valor hash (una cadena de longitud fija derivada del contenido de los datos) y se almacena junto a los datos. Cualquier intento de modificar los datos dará como resultado un valor hash diferente, lo que indica una manipulación.
  • Almacenamiento de contenidos. Se trata de una arquitectura de almacenamiento que asigna un identificador único (normalmente un hash criptográfico) a cada dato. Este identificador se utiliza para recuperar datos en lugar de las rutas de archivo tradicionales. Una vez escritos los datos, no pueden modificarse sin cambiar su identificador.
  • Registros de auditoría. Para garantizar el cumplimiento y rastrear cualquier intento de acceso o modificación, los sistemas de almacenamiento inmutable suelen mantener registros de auditoría detallados que recogen todas las interacciones con los datos almacenados.
  • Protección de hardware y software. El almacenamiento inmutable puede utilizar salvaguardas de hardware o software para proteger los datos de amenazas físicas y lógicas, como sellos a prueba de manipulaciones, módulos de hardware seguros o algoritmos de consenso distribuidos.

El almacenamiento inmutable se utiliza a menudo en combinación con otras tecnologías como blockchain, firmas digitales y sellos de tiempo seguros para mejorar aún más la autenticidad y seguridad de los datos. La implementación específica del almacenamiento inmutable puede variar mucho en función de las necesidades y requisitos de la organización o industria a la que sirve.

Almacenamiento inmutable vs. Air Gap

Un air gap es una medida de seguridad utilizada en informática y gestión de datos para aislar física y lógicamente un sistema o red de entornos no seguros o potencialmente comprometidos. El término «brecha de aire» implica que existe una brecha literal o desconexión física entre el sistema/datos protegidos y las redes externas, lo que dificulta que los datos puedan ser accedidos, alterados o comprometidos por usuarios no autorizados o ciberataques.

El almacenamiento aislado de la red es un medio de almacenamiento que está físicamente desconectado de un ordenador o una red. Los huecos aéreos suelen utilizarse para sistemas muy sensibles o críticos, como los que manejan información clasificada, sistemas de control de infraestructuras críticas y redes gubernamentales o militares seguras.

Un air gap proporciona una sólida capa de seguridad al aislar un sistema o unos datos de las redes externas, pero no convierte intrínsecamente el almacenamiento en inmutable. El air gapping se centra principalmente en aislar un sistema o red de amenazas externas, pero no garantiza por sí solo la inmutabilidad de los datos. Las organizaciones pueden combinar entornos aislados de la red con medidas de seguridad adicionales y prácticas y políticas de inmutabilidad de los datos para lograr la resiliencia cibernética dentro de ese contexto aislado para proteger los datos de cambios no autorizados.

Un ejemplo de almacenamiento aislado de la red

Los discos duros SAS, SATA o USB desconectados de un servidor o una matriz de almacenamiento son un ejemplo habitual de almacenamiento aislado de la red. Los archivos almacenados en una unidad de disco duro (HDD) de este tipo no se pueden modificar porque este dispositivo está físicamente desconectado y apagado. Es inaccesible para los programas informáticos. Los datos almacenados en esta unidad de disco duro desconectada están protegidos contra ataques de ransomware y otros cambios no deseados.

Sin embargo, esta protección no se consigue utilizando tecnologías inmutables como en el caso del almacenamiento inmutable moderno. No hay interruptores de protección contra escritura por hardware ni software que garantice la protección contra escritura de un disco duro estándar que esté apagado. Por eso el almacenamiento aislado de la red y el almacenamiento inmutable son diferentes, a pesar de que se utilizan para fines similares.

Los cartuchos de cinta también se consideran almacenamiento aislado de la red. Después de hacer backup de un backup a cinta, el ransomware no puede acceder al cartucho de cinta expulsado ni modificar los datos del backup.

El almacenamiento aislado de la red requiere más esfuerzo y tiempo de gestión que el almacenamiento inmutable que puede implantarse en un servidor, en una nube local o pública.

Soluciones de almacenamiento en la nube inmutables

Las soluciones de almacenamiento en la nube inmutables hacen referencia a los servicios o sistemas de almacenamiento de datos basados en la nube que ofrecen la inmutabilidad como función principal. Estas soluciones garantizan que, una vez almacenados los datos en la nube, no puedan modificarse, alterarse o borrarse durante un periodo determinado o según políticas específicas y los principios del almacenamiento inmutable. El almacenamiento inmutable en la nube es especialmente valioso para las organizaciones que buscan proteger la integridad de los datos, cumplir los requisitos de conformidad, mejorar la seguridad de los datos y aplicar estrategias de conservación de datos en el entorno de la nube.

Ejemplos de almacenamiento en la nube inmutable

Varios proveedores de servicios en la nube ofrecen soluciones de almacenamiento en la nube inmutables, diseñadas para proporcionar inmutabilidad de los datos y protección frente a modificaciones o eliminaciones no autorizadas. Varios proveedores de servicios en la nube ofrecen soluciones de almacenamiento en la nube inmutables como parte de su cartera. Por ejemplo, Amazon S3 (Simple Storage Service) ofrece Object Lock, una función que permite la inmutabilidad de datos para objetos S3 (almacenamiento de objetos inmutables). Microsoft Azure ofrece Azure Immutable Blob Storage, que permite a las organizaciones crear y gestionar datos inmutables en Azure Blob Storage. Veamos ejemplos de soluciones de almacenamiento en la nube inmutables de algunos de los principales proveedores de nube:

  • Bloqueo de objetos de Amazon S3. Amazon S3 ofrece una función denominada Bloqueo de objetos que permite a los usuarios crear objetos inmutables dentro de sus buckets de S3 para proporcionar almacenamiento de objetos inmutables en la nube pública. Los usuarios pueden elegir entre dos modos: El modo Gobernanza, en el que los administradores pueden establecer políticas de retención, y el modo Cumplimiento, en el que, una vez bloqueado un objeto, no se puede eliminar ni modificar hasta que expire el periodo de retención.
  • Microsoft Azure Blob Storage inmutable. Microsoft Azure proporciona almacenamiento inmutable Blob Storage como parte de su servicio Azure Blob Storage. El almacenamiento inmutable de blobs permite a los usuarios establecer políticas de retención en sus contenedores de blobs, impidiendo cualquier modificación o eliminación de blobs hasta que haya transcurrido el periodo de retención.
  • Control de versiones de objetos de almacenamiento en la nube de Google. El almacenamiento en la nube de Google ofrece control de versiones de objetos como forma de lograr la inmutabilidad. Cuando el control de versiones está activado, cada modificación de un objeto crea una nueva versión del mismo, conservando el original. Los usuarios pueden configurar las políticas del ciclo de vida de los objetos para gestionar las versiones a lo largo del tiempo, lo que puede incluir el establecimiento de periodos de retención para la inmutabilidad.
  • Bloqueo de objetos en la nube de IBM. IBM Cloud Object Storage proporciona Object Lock, una función que permite a los usuarios aplicar la inmutabilidad a objetos específicos dentro de sus cubos. Al igual que otros proveedores de nube, Object Lock ofrece modos de Gobernanza y Cumplimiento para diferentes niveles de control sobre la retención e inmutabilidad de los datos.
  • Bloqueo de objetos del servicio de almacenamiento en la nube de Oracle. Oracle Cloud Storage Service ofrece Object Lock, que permite a los usuarios crear objetos inmutables con periodos de retención personalizables. Esta función es útil para las organizaciones sujetas a normativas de conservación de datos o aquellas que requieren una estricta preservación de los mismos.

Estos ejemplos ponen de relieve cómo varios proveedores de nube ofrecen soluciones para garantizar la inmutabilidad de los datos, principalmente mediante la creación de objetos inmutables o el uso de políticas de control de versiones y retención.

Almacenamiento inmutable local

El almacenamiento inmutable local se refiere al almacenamiento de datos que se encuentra físicamente en un dispositivo o sistema y está diseñado para garantizar la inmutabilidad de los datos almacenados. A diferencia de las soluciones de almacenamiento inmutable basadas en la nube, que dependen de servidores y servicios remotos, el almacenamiento inmutable local funciona dentro de los límites de un único dispositivo, servidor o infraestructura local. Este tipo de almacenamiento es especialmente útil en situaciones en las que los datos deben protegerse de modificaciones o eliminaciones no autorizadas a nivel local.

Las características clave del almacenamiento inmutable local son:

  • Protección contra escritura basada en hardware. El almacenamiento inmutable local puede lograrse mediante mecanismos de hardware que impiden físicamente que los datos se sobrescriban o modifiquen. Por ejemplo, los dispositivos o soportes de almacenamiento protegidos contra escritura, como los discos ópticos, permiten escribir los datos una vez y protegerlos de cambios posteriores.
  • Funciones del sistema de archivos. Algunos sistemas de archivos admiten funciones que pueden utilizarse para implementar la inmutabilidad local. Por ejemplo, en los sistemas operativos tipo Linux, puede utilizar el comando chattr para establecer atributos como«i»(inmutable) en los archivos, impidiendo que se modifiquen o eliminen.
  • Software especializado. Existen soluciones de software diseñadas para crear entornos locales de almacenamiento inmutable. A menudo se basan en hashing criptográfico, firmas digitales y controles de acceso para garantizar la integridad e inmutabilidad de los datos.

Ejemplos de almacenamiento inmutable local

Los ejemplos de almacenamiento inmutable local utilizados en la práctica son:

  • Discos ópticos (CD-R, DVD-R, Blu-ray): Los discos ópticos de un solo uso son un ejemplo clásico de almacenamiento local inmutable. Una vez que los datos se graban en estos discos, no pueden alterarse ni borrarse sin dañar físicamente el soporte.
  • Dispositivos de almacenamiento con protección contra escritura: Las tarjetas flash SD vienen con interruptores de protección contra escritura y algunos discos duros USB tienen mecanismos que impiden modificar los datos una vez activada la protección contra escritura.
  • Sistemas de archivos inmutables: Algunos sistemas de archivos especializados, como los WORM (Write-Once-Read-Many), están diseñados para garantizar la inmutabilidad de los datos a nivel de sistema de archivos (por ejemplo, Sun QFS). Impiden que se modifiquen los datos almacenados una vez escritos.
  • Bases de datos Blockchain: Las bases de datos Blockchain son una forma de almacenamiento local inmutable utilizado para aplicaciones descentralizadas. En blockchain, los datos se almacenan en una serie de bloques, cada uno de los cuales contiene un hash criptográfico del anterior. Esta cadena de bloques garantiza la inmutabilidad de los datos almacenados.
  • Módulos de hardware seguros: Algunos módulos de seguridad de hardware (HSM) y enclaves seguros proporcionan capacidades de almacenamiento local inmutable protegiendo las claves criptográficas y los datos sensibles de manipulaciones o accesos no autorizados.

El uso de tecnologías inmutables y almacenamiento inmutable puede implementarse en dispositivos de almacenamiento convencionales en la infraestructura local. Los soportes ópticos como CD-R, DVD-R y Blu-Ray, así como las tarjetas flash SD, pueden ayudar a proteger pequeñas cantidades de datos que pueden ser convenientes para usuarios individuales en el modo manual. En cuanto a las organizaciones y los entornos de producción, se puede implantar un sistema de archivos con configuración WORM y otras soluciones de almacenamiento escalable para una protección eficaz con automatización. Las soluciones de almacenamiento inmutable basadas en la nube pueden servir para una gama más amplia de usos prácticos, como el acceso remoto y la colaboración.

¿Es la cinta un medio de almacenamiento inmutable?

El almacenamiento en cinta puede utilizarse para proporcionar una forma de almacenamiento inmutable. El almacenamiento en cinta es un medio versátil que permite escribir, sobrescribir y borrar datos como otras formas de almacenamiento. Sin embargo, las organizaciones pueden aplicar prácticas y políticas para que el almacenamiento en cinta se comporte de forma inmutable.

Las organizaciones pueden utilizar una estrategia de «write-once» al almacenar datos en cinta que es útil para hacer backups de cinta. Esto significa que los datos se escriben en la cinta una vez, y después de eso, la cinta se trata como de sólo lectura. Una vez que los datos se escriben en una cinta de esta forma, no pueden alterarse ni borrarse sin destruir físicamente la cinta. Los cartuchos de cinta tienen un interruptor de protección contra escritura. También existen cartuchos VolSafe especiales que sólo se pueden utilizar una vez para escribir datos.

Sin embargo, es importante tener en cuenta que mantener y gestionar el almacenamiento inmutable en cinta puede ser más complejo y menos cómodo que utilizar soluciones modernas de almacenamiento inmutable en la nube o en disco, que a menudo incorporan funciones de inmutabilidad de datos y control de acceso.

Almacenamiento inmutable en NAS

Algunos sistemas de almacenamiento conectado a red (NAS), como Synology NAS y QNAP NAS, admiten almacenamiento inmutable que puede configurarse en la interfaz web del sistema operativo nativo del proveedor instalado en el NAS. Esta es una opción más para configurar el almacenamiento inmutable en local. La configuración de la inmutabilidad para una carpeta compartida de escritura única en NAS es sencilla.

Backups inmutables

Un backup inmutable es un backup que no se puede alterar ni borrar. Hacer backups inmutables es uno de los usos más populares del almacenamiento de datos inmutables. Si se establece un periodo de caducidad, el backup inmutable sólo podrá borrarse una vez transcurrido dicho periodo. Los backups inmutables son utilizados por organizaciones de todos los sectores.

Los backups son uno de los principales objetivos de los atacantes de ransomware porque saben que tener una copia de seguridad permite a la víctima restaurar los datos sin tener que pagar un rescate. Los backups ubicados en almacenamientos inmutables protegen a los usuarios y a las organizaciones contra el cifrado de datos, la corrupción de datos y el borrado en los backups.

Cuando se utiliza la regla de copia de seguridad 3-2-1, que requiere tener al menos 3 copias de datos en al menos 2 soportes diferentes, uno de los cuales se almacena externo, es más fiable tener una copia de datos en un almacenamiento con inmutabilidad. Puede ser una (cuarta) copia de datos adicional. Si las copias primarias de los datos se ven comprometidas, es posible restaurar los datos a partir de la copia de seguridad inmutable.

Hacer backup de almacenamiento inmutable con NAKIVO

NAKIVO Backup & Replication es una solución moderna de protección de datos que permite hacer backups de datos en repositorios compatibles con la inmutabilidad. Puede configurar la inmutabilidad haciendo un repositorio de backups en las siguientes ubicaciones:

  • Una máquina física o virtual:
    • Un repositorio de backups con inmutabilidad que se asigna a un Transportador instalado en una máquina Linux.
  • Una nube pública compatible con la inmutabilidad:

Hacer backup de almacenamiento con inmutabilidad de datos en NAKIVO Backup & Replication

Además, puede hacer backup de un appliance virtual para VMware vSphere y una imagen preconfigurada de máquina de Amazon (AMI) para Amazon EC2 con un repositorio de backups reforzado integrado con inmutabilidad habilitada.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
Descripción general de los formularios en línea de SharePoint
Picture
Cómo importar y exportar datos de Excel a listas de SharePoint y viceversa
Picture
Cómo hacer backup de NAS con Synology: guía completa